Bereitstellen von Bastion als rein privat
Dieser Artikel hilft Ihnen bei der Bereitstellung von Bastion als rein private Bereitstellung. Rein private Bastion-Bereitstellungen sperren Workloads End-to-End, indem eine nicht über das Internet routingfähige Bereitstellung von Bastion erstellt wird, die rein privaten IP-Adresszugriff zulässt. Rein private Bastion-Bereitstellungen erlauben keine Verbindungen mit dem Bastionhost über die öffentliche IP-Adresse. Im Gegensatz dazu ermöglicht eine reguläre Azure Bastion-Bereitstellung Benutzern die Verbindung mit dem Bastionhost mithilfe einer öffentlichen IP-Adresse.
Das folgende Schaubild zeigt die rein private Bereitstellungsarchitektur von Bastion. Ein Benutzer, der über das private ExpressRoute-Peering mit Azure verbunden ist, kann mithilfe der privaten IP-Adresse des Bastionhosts sicher eine Verbindung mit Bastion herstellen. Bastion kann dann die Verbindung über eine private IP-Adresse mit einem virtuellen Computer herstellen, der sich innerhalb desselben virtuellen Netzwerks wie der Bastionhost befindet. In einer rein privaten Bastion-Bereitstellung lässt Bastion keinen ausgehenden Zugriff außerhalb des virtuellen Netzwerks zu.
Zu berücksichtigende Punkte:
Rein privates Bastion ist zum Zeitpunkt der Bereitstellung konfiguriert und erfordert den SKU-Tarif „Premium“.
Sie können nicht von einer regulären Bastion-Bereitstellung zu einer rein privaten Bereitstellung wechseln.
Um Bastion rein privat in einem virtuellen Netzwerk bereitzustellen, das bereits über eine Bastion-Bereitstellung verfügt, entfernen Sie zuerst Bastion aus Ihrem virtuellen Netzwerk, und stellen Sie Bastion dann als rein privat im virtuellen Netzwerk bereit. Sie müssen das AzureBastionSubnet nicht löschen und neu erstellen.
Wenn Sie eine private End-to-End-Konnektivität erstellen möchten, stellen Sie eine Verbindung über den nativen Client statt über das Azure-Portal her.
Wenn Ihr Clientcomputer lokal und nicht von Azure ist, müssen Sie ein ExpressRoute oder VPN bereitstellen und IP-basierte Verbindung auf der Bastion-Ressource aktivieren
Bei den Schritten in diesem Artikel wird davon ausgegangen, dass Sie über die folgenden Voraussetzungen verfügen:
- Ein Azure-Abonnement. Falls Sie kein Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
- Ein virtuelles Netzwerk, das keine Azure Bastion-Bereitstellung hat.
Sie können beim Erstellen dieser Konfiguration die folgenden Beispielwerte verwenden oder Ihre eigenen Werte einsetzen.
Name | Wert |
---|---|
Ressourcengruppe | TestRG1 |
Region | USA, Osten |
Virtuelles Netzwerk | VNet1 |
Adressraum | 10.1.0.0/16 |
Name von Subnetz 1: FrontEnd | 10.1.0.0/24 |
Name des Subnetzes 2: AzureBastionSubnet | 10.1.1.0/26 |
Name | Wert |
---|---|
Name | VNet1-bastion |
Ebene/SKU | Premium |
Anzahl der Instanzen (Hostskalierung) | 2 oder höher |
Abtretung | Statisch |
In diesem Abschnitt erfahren Sie, wie Sie Bastion als rein privat in Ihrem virtuellen Netzwerk bereitstellen.
Wichtig
Die Stundenpreise gelten ab dem Zeitpunkt der Bereitstellung von Bastion, unabhängig von der Nutzung ausgehender Daten. Weitere Informationen dazu finden Sie unter Preise und SKUs. Wenn Sie Bastion im Rahmen eines Tutorials oder Tests bereitstellen, empfiehlt es sich, diese Ressource zu löschen, sobald Sie sie nicht mehr benötigen.
Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Ihrem virtuellen Netzwerk. Falls Sie noch über keins verfügen, können Sie ein virtuelles Netzwerk erstellen. Wenn Sie ein virtuelles Netzwerk für diese Übung erstellen, können Sie das AzureBastionSubnet (aus dem nächsten Schritt) zum selben Zeitpunkt erstellen, zu dem Sie Ihr virtuelles Netzwerk erstellen.
Erstellen Sie das Subnetz, in dem Ihre Bastion-Ressourcen bereitgestellt werden. Wählen Sie im linken Bereich Subnetze -> +Subnetz aus, um das AzureBastionSubnet hinzuzufügen.
- Das Subnetz muss mindestens /26 oder größer sein (z. B. /26, /25 oder /24), damit die Features mit dem SKU-Tarif „Premium“ verfügbar sind.
- Das Subnetz muss AzureBastionSubnet heißen.
Wählen Sie unten im Bereich Speichern aus, um Ihre Werte zu speichern.
Wählen Sie als Nächstes auf der Seite für Ihr virtuelles Netzwerk die Option Bastion im linken Bereich aus.
Erweitern Sie auf der Seite Bastion die Dedizierten Bereitstellungsoptionen (wenn dieser Abschnitt angezeigt wird). Wählen Sie die Schaltfläche Manuell konfigurieren aus. Wenn Sie diese Schaltfläche nicht auswählen, werden die erforderlichen Einstellungen nicht angezeigt, um Bastion als rein privat bereitzustellen.
Konfigurieren Sie auf der Seite Bastion-Instanz erstellen die Einstellungen für Ihren Bastionhost. Die Werte für die Projektdetails werden mit den Werten Ihres virtuellen Netzwerks aufgefüllt.
Konfigurieren Sie unter Details zur Instanz die folgenden Werte:
Name: Der Name, den Sie für Ihre Bastion-Ressource verwenden möchten
Region: Die öffentliche Azure-Region, in der die Ressource erstellt wird. Wählen Sie die Region aus, in der sich Ihr virtuelles Netzwerk befindet.
Tarif: Sie müssen Premium- für eine rein private Bereitstellung auswählen.
Anzahl der Instanzen: Die Einstellung für die Hostskalierung. Sie konfigurieren die Hostskalierung in Inkrementen von Skalierungseinheiten. Verwenden Sie den Schieberegler, oder geben Sie eine Zahl ein, um die gewünschte Instanzanzahl zu konfigurieren. Weitere Informationen finden Sie unter Instanzen und Hostskalierung und Azure Bastion – Preise.
Wählen Sie für die Einstellungen zum Konfigurieren virtueller Netzwerke Ihr virtuelles Netzwerk aus der Dropdownliste aus. Wenn Ihr virtuelles Netzwerk in der Dropdownliste nicht angezeigt wird, stellen Sie sicher, dass Sie im vorherigen Schritt den richtigen Wert für die Region ausgewählt haben.
Das AzureBastionSubnet wird automatisch aufgefüllt, wenn Sie es bereits in den vorherigen Schritten erstellt haben.
Im Abschnitt IP-Adresse konfigurieren geben Sie an, dass es sich um eine rein private Bereitstellung handelt. Sie müssen Private IP-Adresse aus den Optionen auswählen.
Wenn Sie „Private IP-Adresse“ auswählen, werden die Einstellungen für die öffentliche IP-Adresse automatisch vom Konfigurationsbildschirm entfernt.
Wenn Sie beabsichtigen, ExpressRoute oder ein VPN mit einer rein privaten Bastion-Bereitstellung zu verwenden, wechseln Sie zur Registerkarte Erweitert. Wählen Sie IP-basierte Verbindung aus.
Wählen Sie nach Angabe der Einstellungen die Option Überprüfen + erstellen aus. In diesem Schritt werden die Werte überprüft.
Nachdem die Werte überprüft wurden, können Sie Bastion bereitstellen. Klicken Sie auf Erstellen.
Eine Meldung wird angezeigt, die besagt, dass Ihre Bereitstellung in Bearbeitung ist. Der Status wird auf dieser Seite bei Erstellung der Ressourcen angezeigt. Die Erstellung und Bereitstellung der Bastion-Ressource dauert etwa 10 Minuten.
Weitere Informationen zu Konfigurationseinstellungen finden Sie unter Azure Bastion-Konfigurationseinstellungen und Häufig gestellte Fragen zu Azure Bastion.